MS02-053: La richiesta all'interprete SmartHTML può monopolizzare le risorse della CPU del server Web

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sintomi
L'interprete SmartHTML (Shtml.dll), contenuto nelle estensioni del server di FrontPage, fornisce supporto per i moduli Web e altro contenuto dinamico basato su FrontPage. L'interprete contiene un difetto che si presenta durante l'elaborazione di una richiesta di un particolare tipo di file Web, quando la richiesta presenta determinate caratteristiche. Una richiesta di questo tipo può far sì che l'interprete esaurisca gran parte o tutta la disponibilità della CPU fino a causare il riavvio del servizio Web. Un utente malintenzionato potrebbe sfruttare questo problema di protezione per sferrare un attacco che determini il rifiuto del servizio a un server Web affetto da tale problema.

Fattori attenuanti

  • Il problema di protezione non consente di adottare nessun'altra azione che possa determinare conseguenze più gravi sul server. Non consente infatti all'utente malintenzionato di aggiungere, eliminare o modificare dati sul server.
  • Il comando Strumento di verifica della sicurezza per IIS (informazioni in lingua inglese), se utilizzato per configurare un server Web statico, disattiva l'interprete SmartHTML. I server su cui questo strumento è stato utilizzato non possono essere interessati da questo problema di protezione.
  • In base all'impostazione predefinita, le estensioni del server di FrontPage vengono installate in Microsoft Internet Information Server versione 4.0 e Microsoft Internet Information Services versione 5.0 e 5.1, ma possono essere rimosse. I server su cui è stato rimosso Internet Information Server oppure Internet Information Services non possono essere interessati da questo problema di protezione.
Risoluzione

Estensioni del server di Microsoft FrontPage 2002

Per ulteriori informazioni sull'aggiornamento della protezione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329086 FP2002: Aggiornamento per la protezione delle estensioni del server di FrontPage 2002: 25 settembre 2002
La versione in lingua inglese di questa correzione ha gli attributi di file elencati nella tabella seguente (o successivi):
   Versione       Nome file        --------------------------   10.0.4219.0    Fp5awel.dll
Microsoft raccomanda altresì di installare l'aggiornamento delle estensioni del server di FrontPage 2002 rilasciato nel gennaio 2002. Per ulteriori informazioni sull'aggiornamento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
317296 Panoramica dell'aggiornamento delle estensioni del server di FrontPage 2002 del 28 gennaio 2002
Torna all'inizio

Estensioni del server di Microsoft FrontPage 2000

Per ulteriori informazioni sull'aggiornamento della protezione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329085 FP2000: Aggiornamento per la protezione delle estensioni del server di FrontPage 2000: 25 settembre 2002
La versione in lingua inglese di questa correzione ha gli attributi di file elencati nella tabella seguente (o successivi):
   Versione       Nome file        --------------------------   4.0.2.6426     Fp4awel.dll
Torna all'inizio

Windows XP

È disponibile una correzione supportata da Microsoft, che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. È possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer è a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario, attendere la versione successiva del service pack di Windows XP contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

I seguenti file sono disponibili per il download dall'Area download Microsoft.
Data di rilascio: 25 settembre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

È necessario riavviare il computer una volta applicato l'aggiornamento. Questo aggiornamento supporta i seguenti parametri di installazione:
  • -?: consente di visualizzare l'elenco dei parametri di installazione.
  • -u: modalità automatica.
  • -f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • -n: consente di non eseguire il backup dei file per la disinstallazione.
  • -o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • -z: consente di non riavviare il computer al termine dell'installazione.
  • -q: modalità non interattiva (senza intervento dell'utente).
  • -l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • -x: consente di estrarre i file senza eseguire il programma di installazione.
Ad esempio, con la seguente riga di comando, l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
Q324096_wxp_sp1_x86_enu -u -q -z
AVVISO: il computer risulterà vulnerabile finché non sarà stato riavviato.

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data         Ora     Versione     Dimensione    Nome file   -----------------------------------------------------------   22/06/02     22.37   10.0.4219.0  1.382.984     Fp5awel.dll
NOTA: a causa delle dipendenze fra i file, è possibile che questo aggiornamento contenga ulteriori file.

Torna all'inizio

Informazioni sul service pack per Windows 2000

La versione per Microsoft Windows 2000 di questa patch di protezione è inclusa in Windows 2000 Service Pack 4 (SP4) per i sistemi che eseguono le estensioni del server di FrontPage 2000. Se si utilizzano altre versioni delle estensioni del server di FrontPage, sarà necessario installare la patch per MS02-053 separatamente. Per risolvere questo problema è necessario ottenere la versione più recente del service pack per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910 Acquisizione della versione più recente del service pack di Windows 2000

Informazioni sull'aggiornamento rapido per Windows 2000

È disponibile una correzione supportata da Microsoft, che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. È possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer è a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario, attendere la versione successiva del service pack di Windows 2000 contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

Il seguente file è disponibile per il download dall'Area download Microsoft:
Data di rilascio: 25 settembre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Opzioni di installazione

È necessario riavviare il computer una volta applicato l'aggiornamento. Questo aggiornamento supporta i seguenti parametri di installazione:
  • -?: consente di visualizzare l'elenco dei parametri di installazione.
  • -u: modalità automatica.
  • -f: consente di forzare la chiusura degli altri programmi all'arresto del computer.
  • -n: consente di non eseguire il backup dei file per la disinstallazione.
  • -o: consente di sovrascrivere i file OEM senza chiedere previa conferma all'utente.
  • -z: consente di non riavviare il computer al termine dell'installazione.
  • -q: modalità non interattiva (senza intervento dell'utente).
  • -l: consente di visualizzare l'elenco degli aggiornamenti rapidi installati.
  • -x: consente di estrarre i file senza eseguire il programma di installazione.
Ad esempio, con la seguente riga di comando, l'aggiornamento viene installato senza intervento dell'utente e senza richiedere il riavvio del computer:
q318138_w2k_sp3_x86_en /q /m /z
AVVISO: il computer risulterà vulnerabile finché non sarà stato riavviato.

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Data      Ora      Versione     Dimensione   Nome file e percorso-----------------------------------------------------------------27/04/02  00.34    4.0.2.6426   872.557      ???\fp4awel.dll
NOTA: a causa delle dipendenze fra i file, è possibile che questo aggiornamento contenga ulteriori file. L'aggiornamento richiede Windows 2000 Service Pack 2 (SP2) o Service Pack 1 (SP1).

Torna all'inizio
Status
Microsoft ha confermato che questo problema può determinare una certa vulnerabilità nelle funzioni di protezione dei prodotti Microsoft elencati alla fine di questo articolo. Questo problema è stato corretto nel Service Pack 4 per Microsoft Windows 2000.
Informazioni
Per ulteriori informazioni su questa vulnerabilità, vedere il seguente Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese):
security_patch
Proprietà

ID articolo: 324096 - Ultima revisione: 02/24/2014 12:56:25 - Revisione: 4.1

  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsysadmin kbsecurity kbwinxpsp2fix kbsecbulletin kbsechack kbwinxppresp2fix kbwin2ksp4fix KB324096
Feedback